2017年1月12日下午,由中国首席技术官联盟、CCTV证券资讯频道《创智》、国家科技部现代服务产业联盟、中国移动互联网投融资联盟主办,功虎社区、菜根科技、网易浙江联合主办,亚洲传媒集团共同执行的“中国IT武林大会暨中国首席技术官2016年度人物颁奖盛典”在杭州未来科技城国际会议中心开幕。
曾担任国家网络信息安全技术研究所所长、拥有十余年互联网安全经验、现任阿里巴巴技术副总裁的杜跃进博士在本次活动中做了精彩分享,以下是演讲的核心内容:
1. 数据代表未来,数据就是财富;
2. 让数据安全成为竞争力;
3. 以组织为单位看数据安全;
4. 做数据安全要换一套思路,不同于过去的系统安全,要变成以数据为中心的安全。
以下为杜跃进博士的演讲内容(经亿欧整理,有删减)
今天我主要讲两个方面:第一,怎么理解数据安全;第二,数据安全的方向性。
在一个企业内部,安全都是成本,安全都是阻力。但如果安全这件事情已经成了一个全面的需求或者全面的压力的情况下,大家有可能把安全当成你的企业和别人竞争的优势。
我们有这样的例子,比如说电梯、汽车、飞机,安全是非常强的共性需求。当你卖产品的时候,“安全”便是很好的卖点。在未来,因为一切东西都在线上,一切东西都在智能,一切东西都在和所有的东西发生联系,安全会成为越来越强的需求。我认为未来安全这方面如果做得好,会成为竞争力。
数据代表未来,数据就是财富。国外有一种说法是“数据就是新的黄金”,IDC估计2019年的时候,数据产业就有1870亿美元/年。但是数据本身进来以后,数据安全也会变成一个非常重要的问题,我们都在关注明年正式实施的《国家网络安全法》,同时还有我国马上要公布出来的《个人信息保护规范》。
关于数据安全的方向性:第一,数据安全到底解决哪些问题?很多人认为数据安全主要来源于外部。实际上在今天,绝大部分的数据都是内部人偷走的;第二,关于对象,我们要保护的东西是什么?个人信息保护都是属于消费者数据,还有公司的商业秘密和知识产权。
“数据安全”这个概念,不同于普遍理解的IT安全,数据安全是以数据为中心的安全,但是传统是以一个一个IT系统为中心的安全。这两者有非常大的不同。
另外,要以组织为单位看数据安全。我们需要注意到当这个数据进入到这个组织中,进入到这个部门以后,它是有一整个的生命周期。如果是以数据为中心的安全的话,需要从整个生命周期来保护它。好像在座的每一个人,我想保护你的安全,是从你出生到长大全过程。我要保护你的安全,你整个的生命周期在一个组织内部大致上包括创建、存储、使用、传输、共享、销毁。
结合系统安全,以系统为中心的安全,假设一个系统本身只是负责数据传输的话,安全是什么?只要做到通信过程中不被破密就可以了。
成熟度模型是一个可以借鉴的方法,用成熟度的方式来衡量一个组织在某个方面发展到什么样的水平,从初始到可重复级,到定义级、到可持续级,到管理级。
安全从来不是靠简单的产品来完成的,数据安全也是一样。和数据安全相关的产品非常多,大家容易听到的是数据泄露防护,会在你们终端上或者网络中运行这样的系统。但是只靠这个是完全不够的。对于一个组织来说,至少这四个角度都是非常重要的:一是组织架构;二是制度流程;三是技术手段;四是人员能力。以上几个能力加在一起构成一个“数据安全能力成熟度模型”。
我最后总结一下:第一,大家要有对数据安全的强认知、强需求,如果在这个领域做好会成为未来的竞争力;第二,做数据安全要换一套思路,不同于过去的系统安全,要变成以数据为中心的安全。可以借鉴成熟度模型,用数据整个生命周期,同时结合组织结构、制度流程、技术手段、人员能力等等,去打造数据安全的能力。